تحرير

مشاركة عبر

الحماية متعددة الطبقات للوصول إلى جهاز Azure الظاهري

معرف Microsoft Entra
Azure Bastion
Azure Role-based access control
Microsoft Defender for Cloud
Azure Key Vault

أفكار الحل

تصف هذه المقالة فكرة الحل. يمكن لمهندس السحابة الخاص بك استخدام هذه الإرشادات للمساعدة في تصور المكونات الرئيسية لتنفيذ نموذجي لهذه البنية. استخدم هذه المقالة كنقطة بداية لتصميم حل جيد التصميم يتوافق مع المتطلبات المحددة لحمل العمل الخاص بك.

يوفر هذا الحل استراتيجية متعددة الطبقات لحماية الأجهزة الظاهرية (VMs) في Azure، ما يضمن إمكانية الوصول مع تقليل سطح الهجوم لأغراض الإدارة والإدارة.

تماشيا مع توصية الأمان من Microsoft، يتضمن هذا الحل العديد من آليات الحماية التي تقدمها خدمات Microsoft Azure و Entra، مع الالتزام بمبادئ الأمان حسب التصميم، والأمان بشكل افتراضي، والعمليات الآمنة.

  • آمنة حسب التصميم. ويحقق الحل وصولا دقيقا غير مستمر إلى الأجهزة الظاهرية من خلال تنفيذ مبدأ أقل الامتيازات ومفهوم فصل الواجبات. وهذا يضمن منح التخويل للأجهزة الظاهرية فقط لأسباب مشروعة، ما يقلل من خطر الوصول غير المصرح به.

  • آمن بشكل افتراضي. يتم تأمين نسبة استخدام الشبكة الواردة إلى الأجهزة الظاهرية، مما يسمح بالاتصال فقط عند الحاجة. يقلل هذا الوضع الأمني الافتراضي من التعرض للعديد من الهجمات الإلكترونية الشائعة مثل هجمات القوة الغاشمة وهجمات رفض الخدمة الموزعة (DDoS).

  • عمليات آمنة. من الضروري تنفيذ المراقبة المستمرة والاستثمار في تحسين ضوابط الأمان لمواجهة التهديدات الحالية والمستقبلية. استخدم خدمات وميزات Azure المختلفة مثل Microsoft Entra إدارة الهويات المتميزة (PIM)، وميزة الوصول إلى الجهاز الظاهري في الوقت المناسب (JIT) لأدوار Microsoft Defender for Cloud وAzure Bastion والتحكم في الوصول المستند إلى الدور (Azure RBAC). اختياريا يجب عليك مراعاة الوصول المشروط ل Microsoft Entra لتنظيم الوصول إلى موارد Azure وAzure Key Vault لتخزين كلمات المرور المحلية للجهاز الظاهري إذا لم تكن متكاملة مع معرف Entra أو خدمات مجال Active Direcory.

حالات الاستخدام المحتملة

الدفاع في العمق هو الفرضية الكامنة وراء هذه البنية. تتحدى هذه الاستراتيجية المستخدمين الذين لديهم عدة خطوط دفاع قبل منح المستخدمين حق الوصول إلى الأجهزة الظاهرية. والهدف هو ضمان ما يلي:

  • يتم التحقق من كل مستخدم.
  • كل مستخدم لديه نوايا مشروعة.
  • الاتصال آمن.
  • يتم توفير الوصول إلى الأجهزة الظاهرية في Azure فقط عند الحاجة.

تنطبق استراتيجية الدفاع في العمق والحل في هذه المقالة على العديد من السيناريوهات:

  • يحتاج المسؤول إلى الوصول إلى جهاز Azure الظاهري في ظل هذه الظروف:

    • يحتاج المسؤول إلى استكشاف مشكلة وإصلاحها، أو التحقيق في السلوك، أو تطبيق تحديث مهم.
    • يستخدم المسؤول بروتوكول سطح المكتب البعيد (RDP) للوصول إلى جهاز ظاهري Windows أو shell آمن (SSH) للوصول إلى جهاز Linux الظاهري.
    • يجب أن يتضمن الوصول الحد الأدنى لعدد الأذونات المطلوبة لتنفيذ المهمة.
    • يجب أن يكون الوصول صالحاً لفترة محدودة فقط.
    • بعد انتهاء صلاحية الوصول، يجب على النظام تأمين وصول الجهاز الظاهري لمنع محاولات الوصول الضارة.

  • يحتاج الموظفون إلى الوصول إلى محطة عمل بعيدة مستضافة في Azure كجهاز ظاهري. تنطبق الشروط التالية:

    • يجب على الموظفين الوصول إلى الجهاز الظاهري فقط خلال ساعات العمل.
    • يجب أن ينظر نظام الأمان في طلبات الوصول إلى الجهاز الظاهري خارج ساعات العمل غير الضرورية والضارة.

  • يرغب المستخدمون في الاتصال بأحمال عمل Azure VM. يجب أن يوافق النظام على الاتصالات التي تكون فقط من الأجهزة المدارة والمتوافقة.

  • واجه النظام عدداً هائلاً من هجمات القوة الغاشمة:

    • استهدفت هذه الهجمات أجهزة Azure الظاهرية على منفذي RDP وSSH 3389 و22.
    • حاولت الهجمات تخمين بيانات الاعتماد.
    • يجب أن يمنع الحل منافذ الوصول مثل 3389 و22 من التعرض للإنترنت أو البيئات المحلية.

بناء الأنظمة

رسم تخطيطي للبنية يوضح كيفية حصول المستخدم على وصول مؤقت إلى Azure V M.

قم بتنزيل ملف Visio لهذه البنية.

تدفق البيانات

  1. قرارات المصادقة والوصول: تتم مصادقة المستخدم مقابل معرف Microsoft Entra للوصول إلى مدخل Azure أو واجهات برمجة تطبيقات Azure REST أو Azure PowerShell أو Azure CLI. إذا نجحت المصادقة، يدخل نهج الوصول المشروط من Microsoft Entra حيز التنفيذ. يتحقق هذا النهج من استيفاء المستخدم لمعايير معينة. تتضمن الأمثلة استخدام جهاز مدار أو تسجيل الدخول من موقع معروف. إذا استوفى المستخدم المعايير، يمنح الوصول المشروط المستخدم حق الوصول إلى Azure من خلال مدخل Microsoft Azure أو واجهة أخرى.

  2. الوصول في الوقت المناسب المستند إلى الهوية: أثناء التخويل، يعين Microsoft Entra PIM للمستخدم دورا مخصصا من النوع المؤهل. تقتصر الأهلية على الموارد المطلوبة وهي دور محدد زمنياً وليس دوراً دائماً. ضمن إطار زمني محدد، يطلب المستخدم تنشيط هذا الدور من خلال واجهة Azure PIM. يمكن لهذا الطلب تشغيل إجراءات أخرى، مثل بدء سير عمل الموافقة أو مطالبة المستخدم بالمصادقة متعددة العوامل للتحقق من الهوية. في سير عمل الموافقة، يحتاج شخص آخر إلى الموافقة على الطلب. وإلا فلن يتم تعيين الدور المخصص للمستخدم ولا يمكنه المتابعة إلى الخطوة التالية.

  3. الوصول المستند إلى الشبكة في الوقت المناسب: بعد المصادقة والتخويل، يتم ربط الدور المخصص مؤقتاً بهوية المستخدم. ثم يطلب المستخدم الوصول إلى الجهاز الظاهري JIT. يفتح هذا الوصول اتصالاً من الشبكة الفرعية Azure Bastion على المنفذ 3389 ل RDP أو المنفذ 22 ل SSH. يتم تشغيل الاتصال مباشرة إلى بطاقة واجهة شبكة الجهاز الظاهري (NIC) أو الشبكة الفرعية ل VM NIC. يفتح Azure Bastion جلسة RDP داخلية باستخدام هذا الاتصال. تقتصر الجلسة على شبكة Azure الظاهرية ولا تتعرض للإنترنت العام.

  4. الاتصال بجهاز Azure الظاهري: يصل المستخدم إلى Azure Bastion باستخدام رمز مميز مؤقت. من خلال هذه الخدمة، ينشئ المستخدم اتصال RDP غير مباشر ب Azure VM. يعمل الاتصال لفترة محدودة من الوقت فقط. يمكن للمستخدم استرداد كلمة المرور من Azure Key Vault، إذا تم تخزين كلمة المرور كبيانات سرية في Key Vault، وتم تكوين أذونات RBAC كافية للحد من الوصول إلى حساب المستخدم المناسب.

المكونات

يستخدم هذا الحل المكونات التالية:

  • أجهزة Azure الظاهرية هي أحد عروض البنية التحتية كخدمة (IaaS). يمكنك استخدام الأجهزة الظاهرية لتوزيع موارد الحوسبة القابلة للتطوير عند الطلب. في بيئات الإنتاج التي تستخدم هذا الحل، انشر أحمال العمل الخاصة بك على أجهزة Azure الظاهرية. ثم قم بالتخلص من التعرض غير الضروري للأجهزة الظاهرية وأصول Azure.

  • معرف Microsoft Entra هو خدمة هوية مستندة إلى السحابة تتحكم في الوصول إلى Azure وتطبيقات السحابة الأخرى.

  • PIM هي خدمة Microsoft Entra تدير الوصول إلى الموارد الهامة وتتحكم فيه وتراقبه. في هذا الحل، هذه الخدمة:

    • تقيّد وصول المسؤول الدائم إلى الأدوار المميزة القياسية والمخصصة.
    • يوفر الوصول المستند إلى الهوية في الوقت المناسب إلى الأدوار المخصصة.

  • الوصول إلى الجهاز الظاهري ل JIT هو ميزة من ميزات Defender for Cloud التي توفر الوصول المستند إلى الشبكة في الوقت المناسب إلى الأجهزة الظاهرية. تضيف هذه الميزة قاعدة رفض إلى مجموعة أمان شبكة Azure التي تحمي واجهة شبكة الجهاز الظاهري أو الشبكة الفرعية التي تحتوي على واجهة شبكة الجهاز الظاهري. تقلل هذه القاعدة من سطح الهجوم للجهاز الظاهري عن طريق حظر الاتصال غير الضروري بالجهاز الظاهري. عندما يطلب مستخدم الوصول إلى الجهاز الظاهري، تضيف الخدمة قاعدة السماح المؤقتة إلى مجموعة أمان الشبكة. نظراً لأن قاعدة السماح لها أولوية أعلى من قاعدة الرفض، يمكن للمستخدم الاتصال بالجهاز الظاهري. يعمل Azure Bastion بشكل أفضل للاتصال بالجهاز الظاهري. ولكن يمكن للمستخدم أيضاً استخدام جلسة RDP أو SSH مباشرة.

  • التحكم في الوصول استناداً إلى الدور في Azure يوفر إدارة وصول دقيقة إلى موارد Azure.

  • توفر الأدوار المخصصة في التحكم في الوصول في Azure طريقة للتوسع في الأدوار المضمنة في Azure RBAC. يمكنك استخدامها لتعيين الأذونات على المستويات التي تلبي احتياجات مؤسستك. تدعم هذه الأدوار PoLP. وهي تمنح فقط الأذونات التي يحتاجها المستخدم لغرض المستخدم. للوصول إلى جهاز ظاهري في هذا الحل، يحصل المستخدم على أذونات ل:

    • استخدام Azure Bastion.
    • طلب الوصول إلى JIT VM في Defender for Cloud.
    • قراءة الأجهزة الظاهرية أو سردها.

  • Microsoft Entra Conditional Access هو أداة يستخدمها معرف Microsoft Entra للتحكم في الوصول إلى الموارد. تدعم نهج الوصول المشروط نموذج أمان الثقة المعدومة. في هذا الحل، تضمن النهج وصول المستخدمين المصادق عليهم فقط إلى موارد Azure.

  • يوفر Azure Bastion اتصال RDP وSSH آمناً وسلساً بالأجهزة الظاهرية في الشبكة. في هذا الحل، يربط Azure Bastion المستخدمين الذين يستخدمون Microsoft Edge أو مستعرض إنترنت آخر ل HTTPS، أو حركة المرور الآمنة على المنفذ 443. يقوم Azure Bastion بإعداد اتصال RDP بالجهاز الظاهري. لا يتم عرض منافذ RDP وSSH للإنترنت أو أصل المستخدم.

    Azure Bastion اختياري في هذا الحل. يمكن للمستخدمين الاتصال مباشرة ب Azure VMs باستخدام بروتوكول RDP. إذا قمت بتكوين Azure Bastion في شبكة Azure الظاهرية، فقم بإعداد شبكة فرعية منفصلة تسمى AzureBastionSubnet. ثم قم بإقران مجموعة أمان الشبكة بتلك الشبكة الفرعية. في هذه المجموعة، حدد مصدراً لنسبة استخدام الشبكة HTTPS مثل كتلة التوجيه الداخلي بين النطاقات (CIDR) الخاصة بالمستخدم دون فئات IP. باستخدام هذا التكوين، يمكنك حظر الاتصالات التي لا تأتي من البيئة المحلية للمستخدم.

  • يوفر Azure Key Vault آلية آمنة لتخزين كلمة مرور مستخدم الجهاز الظاهري كبيانات سرية. يمكن تكوين التحكم في الوصول استنادا إلى الدور السري بحيث يكون لحساب المستخدم الذي يصل إلى الجهاز الظاهري فقط الإذن لاسترداده. يمكن استرداد قيمة كلمة المرور من مخزن المفاتيح من خلال واجهات برمجة تطبيقات Azure (مثل استخدام Azure CLI) أو من مدخل Azure، حيث يتكامل Azure Key Vault مع واجهة مستخدم Azure Bastion في شفرة الجهاز الظاهري في مدخل Azure.

    المساهمون

تحتفظ Microsoft بهذه المقالة. وهي مكتوبة في الأصل من قبل المساهمين التاليين.

الكاتب الرئيسي:

لمشاهدة ملفات تعريف LinkedIn غير العامة، سجل الدخول إلى LinkedIn.

الخطوات التالية